 Heeft veiligheidsdienst de bug gebruikt, of kan het die alsnog gebruiken?
Is die Heartbleed bug nu echt zo gevaarlijk, dienen we ons af te vragen? Kunnen hackers echt de private encryptiesleutels bemachtigen van sites die door de buggy OpenSSL kwetsbaar zijn? De eerste berichten ontkenden het - het zou moeilijk, zo niet onmogelijk zijn. Waarop het webdienstenbedrijf Cloudflare, om zeker te zijn, "The Heartbleed Challenge" lanceerde, om te zien of hun bevindingen klopten met de ervaringen van anderen.
Er werd een nginx erver opgezet met daarop de versie van OpenSSL die de Heartbleed bug bevat. Het hele internet werd uitgenodigd om zijn hack-talenten te botvieren op de server, en de private sleutel te ontfutselen die het mogelijk zou maken om gegevens te stelen.
En helaas, het duurde niet lang of de eerste "winnaars" van de wedstrijd werden bekend, waardoor het dus duidelijk bleek dat de versleuteling lek was. Meer nog: dat het niet gewoon volstaat om enkel een nieuwe versie van OpenSSL te installeren, ook het Certificaat is in gevaar. Bij Ars Technica lees je het hele verhaal (1)
NSA wist het: ja-nee spelletje
Na de bekendmaking van de bug werd natuurlijk, gezien de recente NSA-onthullingen van Snowden, met een beschuldigende vinger gewezen naar het NSA: hadden zij een hand in het tot stand komen van de bug? Waren zij al op de hoogte van in het begin? Hadden zij de bug gebruikt om mensen af te luisteren? Een artikel op Bloomberg beweerde alvast dat het NSA op de hoogte was, waarop IC On The Record, een blog van de Nationale Veiligheid, staalhard ontkende dat het NSA van het bug wist en het regelmatig gebruikte om vertrouwelijke informatie te verzamelen (2)
Obama: NSA màg misbruik maken van bugs
Daar komt nog een vraag bij: als het NSA op de hoogte is van een bug, moet het die dan niet melden, zodat de makers van de software de bug kunnen dichten? President Obama heeft daarover in januari al een verklaring afgelegd: het NSA moet het bug melden - in de meeste omstandigheden. Maar.. er zijn uitzonderingen. "Voor de nationale veiligheid, of voor uitoefening van de ordehandhaving". Wat de NSA dus de vrije hand blijft geven bij het afluisteren van burgers, ook door middel van bugs in software. (3)
Ook retroactief misbruik maken van bug
Het meest angstwekkende van het hele verhaal moet echter nog komen. The Guardian wijst er namelijk op dat het NSA eigenlijk niet eens op de hoogte geweest moet zijn van het bug, om die in het verleden gebruikt te hebben om versleutelde communicaties af te luisteren. Het NSA heeft namelijk de volmacht om alle communicatie die versleuteld is, op te slaan - in de hoop om in de toekomst een sleutel tegen te komen om de codering te breken. En die kans is er nu dus, dankzij de Heartbleed bug. Een interessante beschouwing daarover bij The Guardian.(4)
http://arstechnica.com/security/2014/04/private-crypto-keys- ...
http://icontherecord.tumblr.com/post/82416436703/statement-o ...
http://www.nytimes.com/2014/04/13/us/politics/obama-lets-nsa ...
|
